Qu’est-ce que l’injection de code sous Windows ?

L'injection de code est une technique très courante sous Windows. Les applications « injecteront » leur propre code dans un autre processus en cours d’exécution pour modifier le comportement de ce processus. Cette technique peut être utilisée à des fins bonnes ou mauvaises, mais dans tous les cas, elle peut provoquer des problèmes indésirables. Les logiciels antivirus , tels que les logiciels antivirus , injectent du code dans Chrome pour modifier son comportement. Cela conduit à des problèmes de navigateur plus fréquents.

L'injection de code est aussi souvent appelée injection de DLL car les morceaux de code injectés dans d'autres processus se présentent généralement sous la forme de fichiers DLL - Dynamic Link Library. Cependant, les applications peuvent parfois également injecter d'autres types de code qui ne se présentent pas sous la forme de fichiers DLL dans un autre processus.

A quoi sert l’injection de code ?

L'injection de code est utilisée pour exécuter toutes les astuces et fonctions sous Windows. L'injection de code est utilisée à la fois par des logiciels légitimes et des logiciels malveillants, par exemple :

• Les programmes antivirus insèrent souvent des scripts dans les navigateurs Web et les utilisent pour surveiller le trafic réseau et bloquer le contenu Web dangereux.
• Des programmes malveillants peuvent ajouter du code à votre navigateur Web pour suivre votre historique et vos informations de navigation, puis voler des informations protégées telles que des mots de passe, des numéros de carte de crédit et des modifications installées sur votre navigateur.
• WindowBlinds de Stardock injecte du code pour modifier la façon dont les fenêtres sont ouvertes.
• Stardock's Fences injecte du code pour changer le fonctionnement de Windows.
• AutoHotkey insère des codes pour vous permettre de créer des scripts et d'attribuer des raccourcis clavier à l'échelle du système.
• Les pilotes graphiques comme ceux de NVIDIA envoient des fichiers DLL pour effectuer diverses tâches liées aux graphiques.
• Certains programmes injectent des fichiers DLL pour ajouter des options supplémentaires à une application.
• Les tricheurs de jeux PC injectent souvent du code dans les jeux pour modifier leurs caractéristiques, donnant ainsi aux tricheurs un avantage injuste sur les autres joueurs.

L’injection de code est-elle mauvaise ?

Cette technique est constamment utilisée par de nombreuses applications différentes sous Windows. C'est vraiment unique pour effectuer une variété de tâches. Comparé à une plate-forme de système d'exploitation mobile moderne comme iOS d'Apple ou Android de Google, Windows est beaucoup plus puissant car il offre cette flexibilité aux développeurs.

Bien sûr, cela comporte également certains dangers. L'injection de code peut provoquer des problèmes et des erreurs dans l'application. Google affirme que les utilisateurs Windows qui incluent un logiciel injectant du code dans Chrome sont 15 % plus susceptibles de rencontrer des erreurs sur Chrome que d'habitude, et c'est pourquoi Google s'efforce d'empêcher l'injection de code.

Microsoft fournit même des instructions permettant aux utilisateurs de vérifier si des fichiers DLL tiers sont chargés dans Microsoft Outlook, car ces fichiers entraîneront de nombreux problèmes dans Outlook.

Un employé de Microsoft a partagé ce problème sur un blog en 2004 :

Les fichiers DLL injectés dans d'autres applications ne sont jamais sûrs, car le code entre illégalement dans un processus qui n'a pas été conçu, construit ou testé par l'auteur de ce processus. Vous courez le risque de rencontrer des problèmes de synchronisation ou de ressources que vous n'avez jamais rencontrés auparavant, ou ces fichiers exacerberont les problèmes existants dans l'application.

En d’autres termes, Code Injection est un hack illégal. Cependant, l’injection de code n’est qu’une technique courante que l’on trouve aujourd’hui sur la plate-forme d’applications Windows. Il est utilisé en permanence en arrière-plan sous Windows sur votre PC.

Comment vérifier les fichiers DLL qui ont été injectés dans l'application.

Vous pouvez vérifier l'injection de code sur votre système à l'aide de l'application Process Explorer de Microsoft. Fondamentalement, cette application est une version améliorée du Gestionnaire des tâches améliorée avec les fonctionnalités supplémentaires nécessaires.

Tout d’abord, vous téléchargez et exécutez Process Explorer. Cliquez ensuite sur Affichage > Affichage du volet inférieur > DLL ou appuyez sur Ctrl + D.

Sélectionnez un processus dans le volet supérieur et regardez le volet ci-dessous pour voir quels fichiers DLL sont en cours de chargement. La colonne Nom de l'entreprise vous fournira un moyen utile de filtrer cette liste.

Par exemple : lorsque vous voyez un ensemble de fichiers DLL créés par Microsoft Corporation, c'est tout à fait normal car ils font partie de Windows. Il est tout à fait normal que des fichiers DLL provenant des sociétés mères de l'application se trouvent dans cette application (par exemple "Google Inc" dans la capture d'écran ci-dessous).

D'après l'image ci-dessous, nous pouvons également repérer quelques fichiers DLL créés par « AVAST Software » dans cette liste. Cela montre que l'application anti-spyware Avast sur le système injecte du code tel que « Bibliothèque de filtres Avast Script Blocking » dans Chrome.

Même si vous constatez une injection de code sur votre système, vous ne pouvez pas faire grand-chose, à part désinstaller le programme qui injecte le code pour éviter qu'il ne provoque d'autres problèmes. Par exemple, si votre Chrome plante fréquemment, vous pouvez vérifier si des programmes injectent du code dans Chrome et, si tel est le cas, désinstaller ces programmes pour les empêcher d'interférer davantage avec votre progression.

Comment fonctionne l’injection de code ?

L'injection de code n'affecte pas les applications sous-jacentes stockées sur votre disque. Au lieu de cela, il attend que l'application soit lancée, puis injecte du code dans le processus en cours d'exécution pour modifier le fonctionnement de ce processus.

Comme nous le savons tous, Windows contient une série d'interfaces de programmation d'applications (API) qui peuvent être utilisées pour l'injection de code. Un processus peut s'attacher à un processus cible, allouer de la mémoire, puis écrire une DLL ou un autre code dans cette mémoire et demander au processus cible d'exécuter le code. Windows n'empêche absolument pas les processus de votre ordinateur d'interférer les uns avec les autres de cette manière.

Dans certains cas, quelqu'un peut modifier le code de base sur le lecteur, par exemple en remplaçant le fichier DLL fourni avec un jeu PC par un autre morceau de code qui a été modifié, ce qui peut permettre de tricher dans un jeu ou de violer le droit d'auteur. Techniquement, il ne s’agit pas d’une injection de code car le code n’est pas injecté dans les processus en cours d’exécution, mais le processus est trompé avec un autre fichier DLL portant le même nom.

En savoir plus :

• Pourquoi Chrome demande-t-il aux utilisateurs de mettre à jour ou de supprimer les applications incompatibles ?
• Comment savoir si un lien est sécurisé ou non ?
• Pas besoin d'installer de logiciel, c'est le moyen de protéger vos dossiers